إنشاء واستخدام نقاط النهاية الخاصة (تجربة v1) ل Azure Backup
توفر هذه المقالة معلومات حول عملية إنشاء نقاط نهاية خاصة لـ Azure Backup والسيناريوهات التي تساعد فيها نقاط النهاية الخاصة في الحفاظ على أمان مواردك.
إشعار
يوفر Azure Backup الآن تجربة جديدة لإنشاء نقاط نهاية خاصة. اعرف المزيد.
قبل أن تبدأ
تأكد من قراءة المتطلبات الأساسية والسيناريوهات المدعومة قبل المتابعة لإنشاء نقاط نهاية خاصة.
تساعدك هذه التفاصيل على فهم القيود والشروط التي يجب الوفاء بها قبل إنشاء نقاط نهاية خاصة لخزائنك.
البدء بإنشاء نقاط نهاية خاصة للنسخ الاحتياطي
تناقش الأقسام التالية الخطوات المتضمنة في إنشاء واستخدام نقاط نهاية خاصة لـ Azure Backup داخل شبكاتك الافتراضية.
هام
يوصى بشدة باتباع الخطوات بنفس التسلسل كما هو مذكور في هذا المستند. قد يؤدي عدم القيام بذلك إلى جعل الخزنة غير متوافقة لاستخدام نقاط النهاية الخاصة وتتطلب منك إعادة تشغيل العملية بخزنة جديدة.
أنشئ مخزن خدمات الاسترداد
يمكن إنشاء نقاط النهاية الخاصة للنسخ الاحتياطي فقط لخزائن خدمات الاسترداد التي لا تحتوي على أي عناصر محمية بها (أو لم تتم محاولة حماية أي عناصر أو تسجيلها بها في الماضي). لذلك نقترح عليك إنشاء مخزن جديد لتبدأ به. لمزيد من المعلومات حول إنشاء مخزن جديد، راجع إنشاء وتكوين مخزن خدمات الاسترداد Recovery Services.
راجع هذا القسم لمعرفة كيفية إنشاء مخزن باستخدام عميل Azure Resource Manager. يؤدي هذا إلى إنشاء مخزن بهوية مُدارة تم تمكينها بالفعل.
رفض وصول الشبكة العامة إلى المخزن
يمكنك تكوين خزائنك لرفض الوصول من الشبكات العامة.
اتبع الخطوات التالية:
انتقل إلى شبكة المخزن>.
في علامة التبويب الوصول العام، حدد رفض لمنع الوصول من الشبكات العامة.
إشعار
- بمجرد رفض الوصول، لا يزال بإمكانك الوصول إلى المخزن، ولكن لا يمكنك نقل البيانات من/إلى الشبكات التي لا تحتوي على نقاط نهاية خاصة. لمزيد من المعلومات، راجع إنشاء نقاط نهاية خاصة ل Azure Backup.
- رفض الوصول العام غير مدعوم حاليا للمخازن التي تم تمكين استعادة عبر المناطق.
حدد تطبيق لحفظ التغييرات.
تمكين الهوية المُدارة لمخزنك
تسمح الهويات المُدارة للخزينة بإنشاء واستخدام نقاط نهاية خاصة. يتحدث هذا القسم عن تمكين الهوية المدارة لخزنك.
انتقل إلى مخزن خدمات الاسترداد Recovery Services ->Identity.
تغيير Status إلى On وحدد Save.
يتم إنشاءObject ID، وهو الهوية المُدارة للمخزن.
إشعار
بمجرد التمكين، يجب عدم تعطيل الهوية المُدارة (حتى مؤقتًا). قد يؤدي تعطيل الهوية المدارة إلى سلوك غير متسق.
امنح الأذونات للمخزن لإنشاء نقاط النهاية الخاصة المطلوبة
لإنشاء نقاط النهاية الخاصة المطلوبة لـ Azure Backup، يجب أن تكون للمخزن (الهوية المُدارة للمخزن) أذونات لمجموعات الموارد التالية:
- مجموعة الموارد التي تحتوي على الهدف شبكة ظاهرية
- مجموعة الموارد حيث سيتم إنشاء نقاط النهاية الخاصة
- مجموعة الموارد التي تحتوي على مناطق DNS الخاصة، كما تمت مناقشته بالتفصيل هنا
نوصي بمنح دورالمساهم لمجموعات الموارد الثلاث هذه إلى المخزن (الهوية المُدارة). تصف الخطوات التالية كيفية القيام بذلك لمجموعة موارد معينة (يجب القيام بذلك لكل مجموعة من مجموعات الموارد الثلاثة):
انتقل إلى مجموعة الموارد وانتقل إلى Access Control (IAM) على الشريط الأيسر.
بمجرد الدخول إلى Access Control، انتقل إلى Add a role assignment.
في جزء Add role assignment، اخترContributorباعتباره Role، واستخدم Nameالمخزن باعتباره Principal. حدد المخزن الخاص بك وحددSaveعند الانتهاء.
لإدارة الأذونات بمستوى أكثر دقة، راجع إنشاء الأدوار والأذونات يدويًا.
إنشاء نقاط نهاية خاصة لـ Azure Backup
يشرح هذا القسم كيفية إنشاء نقطة نهاية خاصة لخزنك.
انتقل إلى المخزن الخاص بك الذي تم إنشاؤه أعلاه وانتقل إلىPrivate endpoint connections على شريط التنقل الأيسر. حدد+Private endpoint في الجزء العلوي لبدء إنشاء نقطة نهاية خاصة جديدة لهذا المخزن.
بمجرد الدخول في عمليةCreate Private Endpoint، سيُطلب منك تحديد تفاصيل لإنشاء اتصال نقطة النهاية الخاصة.
Basics: املأ التفاصيل الأساسية لنقاط النهاية الخاصة بك. يجب أن تكون المنطقة مثل الخزنة والمورد الذي يتم نسخه احتياطياً.
Resource: تتطلب علامة التبويب هذه تحديد مورد النظام الأساسي كخدمة الذي تريد إنشاء اتصالك به. حدد Microsoft.RecoveryServices / vaults من نوع المورد للاشتراك الذي تريده. بمجرد الانتهاء من ذلك، اختر اسم مخزن خدمات الاسترداد الخاص بك باعتباره Resource وAzureBackupباعتباره Target sub-resource.
Configuration: في التكوين، حدد الشبكة الافتراضية والشبكة الفرعية حيث تريد إنشاء نقطة النهاية الخاصة. سيكون هذا هو Vnet حيث يوجد جهاز ظاهري.
للاتصال بشكل خاص، تحتاج إلى سجلات DNS المطلوبة. بناءً على إعداد الشبكة لديك، يمكنك اختيار أحد الخيارات التالية:
- قم بدمج نقطة النهاية الخاصة بك مع منطقة DNS خاصة: حدد Yes إذا كنت ترغب في الدمج.
- استخدام ملقم DNS المخصص: حدد No إذا كنت ترغب في استخدام خادم نظام أسماء المجالات الخاص بك.
اختياريًا، يمكنك إضافة Tags لنقطة النهاية الخاصة بك.
استمر في Review + create بمجرد الانتهاء من إدخال التفاصيل. عند اكتمال التحقق من الصحة، حدد Create لإنشاء نقطة نهاية خاصة.
الموافقة على نقاط النهاية الخاصة
إذا كان المستخدم الذي أنشأ نقطة النهاية الخاصة هو أيضًا مالك خزنة خدمات الاسترداد، فسيتم اعتماد نقطة النهاية الخاصة التي تم إنشاؤها أعلاه تلقائيًا. خلافًا لذلك، يجب على مالك المخزن الموافقة على نقطة النهاية الخاصة قبل التمكن من استخدامها. يناقش هذا القسم الموافقة اليدوية على نقاط النهاية الخاصة من خلال مدخل Microsoft Azure.
راجع الموافقة اليدوية على نقاط النهاية الخاصة باستخدام Azure Resource Manager Client لاستخدام Azure Resource Manager Client للموافقة على نقاط النهاية الخاصة.
في خزنة خدمات الاسترداد، انتقل إلىPrivate endpoint connections على الشريط الأيسر.
حدد اتصال نقطة النهاية الخاص الذي ترغب في الموافقة عليه.
حددApprove في الشريط العلوي. يمكنك أيضًا تحديد Reject أو Remove إذا كنت ترغب في رفض اتصال نقطة النهاية أو حذفه.
إدارة سجلات DNS
كما هو موضح سابقًا، تحتاج إلى سجلات نظام أسماء المجالات المطلوبة في مناطق أو خوادم نظام أسماء المجالات الخاصة بك من أجل الاتصال بشكل خاص. يمكنك إما دمج نقطة النهاية الخاصة بك مباشرةً مع مناطق نظام أسماء المجالات الخاصة بـ Azure أو استخدام خوادم DNS المخصصة لتحقيق ذلك، بناءً على تفضيلات الشبكة الخاصة بك. يجب القيام بذلك لجميع الخدمات الثلاث: النسخ الاحتياطي، والكائنات الثنائية كبيرة الحجم، وقوائم الانتظار.
بالإضافة إلى ذلك، إذا كانت منطقة أو خادم نظام أسماء المجالات موجودًا في اشتراك مختلف عن الاشتراك الذي يحتوي على نقطة النهاية الخاصة، فراجع أيضًا إنشاء إدخالات DNS عند وجود منطقة DNS server/DNS في اشتراك آخر.
عند دمج نقاط النهاية الخاصة مع مناطق نظام أسماء المجالات الخاصة بـ Azure
إذا اخترت دمج نقطة النهاية الخاصة بك مع مناطق DNS الخاصة، فسيضيف Azure Backup سجلات DNS المطلوبة. يمكنك عرض مناطق نظام أسماء المجالات الخاصة المستخدمة ضمن تكوين DNS لنقطة النهاية الخاصة. إذا لم تكن مناطق نظام أسماء المجالات هذه موجودة، فسيتم إنشاؤها تلقائيًا عند إنشاء نقطة النهاية الخاصة.
إشعار
يجب أن يكون للهوية المدارة المعينة للمخزن أذونات لإضافة سجلات DNS في منطقة Azure Private DNS.
ومع ذلك، يجب عليك التحقق من أن شبكتك الافتراضية (التي تحتوي على الموارد المطلوب نسخها احتياطيًا) مرتبطة بشكل صحيح بجميع مناطق نظام أسماء المجالات الخاصة الثلاثة، كما هو موضح أدناه.
إشعار
إذا كنت تستخدم خوادم الوكيل، يمكنك اختيار تجاوز الخادم الوكيل أو إجراء النسخ الاحتياطية من خلال الخادم الوكيل. لتجاوز خادم وكيل، تابع إلى الأقسام التالية. لاستخدام الخادم الوكيل لإجراء النسخ الاحتياطية، راجع تفاصيل إعداد الخادم الوكيل لخزنة خدمات الاسترداد.
تحقق من صحة روابط الشبكة الافتراضية في مناطق نظام أسماء المجالات الخاصة
لكل منطقة نظام أسماء المجالات خاصة مذكورة أعلاه (للنسخ الاحتياطي والنقاط الكبيرة وقوائم الانتظار)، قم بما يلي:
انتقل إلى خيار Virtual network links المعني على شريط التنقل الأيسر.
يجب أن تكون قادرًا على رؤية إدخال للشبكة الافتراضية التي أنشأت من أجلها نقطة النهاية الخاصة، مثل تلك الموضحة أدناه:
إذا كنت لا ترى إدخالاً، فأضف رابط شبكة افتراضية لجميع مناطق نظام أسماء النطاقات التي لا تحتوي عليها.
عند استخدام خادم DNS مخصص أو ملفات مضيفة
إذا كنت تستخدم خادم DNS مخصصا، يمكنك استخدام معيد التوجيه الشرطي لخدمة النسخ الاحتياطي والكائن الثنائي كبير الحجم وقائمة الانتظار FQDNs لإعادة توجيه طلبات DNS إلى Azure DNS (168.63.129.16). يعيد Azure DNS توجيهه إلى منطقة Azure Private DNS. في هذا الإعداد، تأكد من وجود ارتباط شبكة ظاهرية لمنطقة Azure Private DNS كما هو مذكور في هذا القسم.
يسرد الجدول التالي مناطق Azure Private DNS المطلوبة بواسطة Azure Backup:
المنطقة الخدمة privatelink.<geo>.backup.windowsazure.com
نسخة احتياطية privatelink.blob.core.windows.net
كائن ثنائي كبير الحجم privatelink.queue.core.windows.net
Queue إشعار
في النص أعلاه،
<geo>
يشير إلى رمز المنطقة (على سبيل المثال eus و ne لشرق الولايات المتحدة وشمال أوروبا على التوالي). راجع القوائم التالية لمعرفة تعليمة برمجية المناطق:إذا كنت تستخدم خوادم DNS مخصصة أو ملفات مضيفة ولم يكن لديك إعداد منطقة Azure Private DNS، فستحتاج إلى إضافة سجلات DNS المطلوبة بواسطة نقاط النهاية الخاصة إلى خوادم DNS أو في ملف المضيف.
لخدمة النسخ الاحتياطي: انتقل إلى نقطة النهاية الخاصة التي قمت بإنشائها، ثم انتقل إلى تكوين DNS. ثم أضف إدخالا لكل FQDN وIP معروض كسجلات النوع A في منطقة DNS للنسخ الاحتياطي.
إذا كنت تستخدم ملف مضيف لتحليل الاسم، فجعل الإدخالات المقابلة في ملف المضيف لكل IP وFQDN وفقا للتنسيق -
<private ip><space><backup service privatelink FQDN>
.بالنسبة للكائن الثنائي كبير الحجم وقائمة الانتظار: ينشئ النسخ الاحتياطي Azure نقاط النهاية الخاصة للكائنات الثنائية كبيرة الحجم وقوائم الانتظار باستخدام أذونات الهوية المدارة. تتبع نقاط النهاية الخاصة للكائنات الثنائية كبيرة الحجم وقوائم الانتظار نمط تسمية قياسي، تبدأ ب
<the name of the private endpoint>_ecs
أو<the name of the private endpoint>_prot
، ويتم لاحقتها ب_blob
و_queue
على التوالي.انتقل إلى نقطة النهاية الخاصة التي تم إنشاؤها بواسطة Azure Backup باتباع النمط أعلاه، ثم انتقل إلى تكوين DNS. ثم أضف إدخالا لكل FQDN وIP معروض كسجلات النوع A في منطقة DNS للنسخ الاحتياطي.
إذا كنت تستخدم ملف مضيف لتحليل الاسم، فجعل الإدخالات المقابلة في ملف المضيف لكل IP وFQDN وفقا للتنسيق -
<private ip><space><blob/queue FQDN>
.
إشعار
قد يخصص Azure Backup حساب تخزين جديدا لمخزنك لبيانات النسخ الاحتياطي، ويحتاج الملحق أو العامل إلى الوصول إلى نقاط النهاية المعنية. لمزيد من التفاصيل حول كيفية إضافة المزيد من سجلات DNS بعد التسجيل والنسخ الاحتياطي، راجع الإرشادات في قسم استخدام نقاط النهاية الخاصة للنسخ الاحتياطي .
استخدم نقاط النهاية الخاصة للنسخ الاحتياطي
بمجرد الموافقة على نقاط النهاية الخاصة التي تم إنشاؤها للخزينة في شبكة ظاهرية الخاص بك، يمكنك البدء في استخدامها لإجراء النسخ الاحتياطية والاستعادة.
هام
تأكد من إكمال جميع الخطوات المذكورة أعلاه في المستند بنجاح قبل المتابعة. للتلخيص، يجب أن تكون قد أكملت الخطوات في قائمة التحقق التالية:
- إنشاء مخزن (جديد) لخدمات الاسترداد
- تم تمكين المخزن لاستخدام الهوية المُدارة المعينة من قبل النظام
- تم تعيين الأذونات ذات الصلة للهوية المُدارة للمخزن
- إنشاء نقطة نهاية خاصة لمخزنك
- تمت الموافقة على نقطة النهاية الخاصة (إذا لم تتم الموافقة عليها تلقائيًا)
- ضمان إضافة جميع سجلات نظام أسماء المجالات بشكل مناسب (باستثناء سجلات البيانات الثنائية الكبيرة وقائمة الانتظار للخوادم المخصصة، والتي ستتم مناقشتها في الأقسام التالية)
تحقق من اتصال الجهاز الظاهري
في الجهاز الظاهري في الشبكة المقفلة، تأكد مما يلي:
- يجب أن يكون للجهاز الظاهري حق الوصول إلى معرف Microsoft Entra.
- نفّذ nslookup على عنوان URL الاحتياطي (
xxxxxxxx.privatelink.<geo>.backup.windowsazure.com
) من جهاز ظاهري، لضمان الاتصال. يجب أن يعيد هذا عنوان IP الخاص المعين في شبكتك الافتراضية.
تكوين النسخ الاحتياطي
بمجرد التأكد من اكتمال قائمة التحقق أعلاه والوصول بنجاح، يمكنك الاستمرار في تكوين نسخة احتياطية لأحمال العمل في المخزن. إذا كنت تستخدم خادم DNS مخصصًا، فستحتاج إلى إضافة إدخالات نظام أسماء المجالات للنقاط الكبيرة وقوائم الانتظار المتوفرة بعد تكوين النسخة الاحتياطية الأولى.
سجلات نظام أسماء المجالات للنقاط الكبيرة وقوائم الانتظار (فقط لخوادم DNS المخصصة / ملفات المضيف) بعد التسجيل الأول
بعد تكوين النسخ الاحتياطي لمورد واحد على الأقل على مخزن خاص ممكّن لنقطة النهاية، أضف سجلات نظام أسماء المجالات المطلوبة للنقاط الكبيرة وقوائم الانتظار كما هو موضح أدناه.
انتقل إلى مجموعة الموارد الخاصة بك، وابحث عن نقطة النهاية الخاصة التي قمت بإنشائها.
بصرف النظر عن اسم نقطة النهاية الخاصة الذي قدمته، سترى نقطتي نهاية خاصتين يتم إنشاؤهما. هذه تبدأ بـ
<the name of the private endpoint>_ecs
و يتم إلحاقها بـ_blob
و_queue
على التوالي.انتقل إلى كل من نقاط النهاية الخاصة هذه. في خيار تكوين نظام أسماء المجالات لكل نقطة من نقطتي النهاية الخاصتين، سترى سجلاً به اسم مجال مؤهل بالكامل وعنوان IP. أضف كليهما إلى خادم DNS المخصص الخاص بك، بالإضافة إلى تلك الموصوفة سابقًا. إذا كنت تستخدم ملف المضيف، فقم بإجراء إدخالات مقابلة في ملف المضيف لكل بروتوكول الإنترنت / اسم مجال مؤهل بالكامل وفقًا للتنسيق التالي:
<private ip><space><blob service privatelink FQDN>
<private ip><space><queue service privatelink FQDN>
بالإضافة إلى ما سبق، هناك حاجة إلى إدخال آخر بعد النسخ الاحتياطي الأول، والذي ستتم مناقشته لاحقًا.
النسخ الاحتياطي واستعادة أحمال العمل في Azure جهاز ظاهري (SQL وSAP HANA)
بمجرد إنشاء نقطة النهاية الخاصة والموافقة عليها، لا يلزم إجراء تغييرات أخرى من جانب العميل لاستخدام نقطة النهاية الخاصة (إلا إذا كنت تستخدم مجموعات توافر لغة الاستعلامات المركبة، والتي نناقشها لاحقًا في هذا القسم). سيتم تنفيذ جميع الاتصالات ونقل البيانات من شبكتك الآمنة إلى المخزن من خلال نقطة النهاية الخاصة. ومع ذلك، إذا قمت بإزالة نقاط النهاية الخاصة للمخزن بعد تسجيل خادم (SQL أو SAP HANA) فيه، فستحتاج إلى إعادة تسجيل الحاوية مع الخزنة. لا داعي لإيقاف الحماية لهم.
سجلات نظام أسماء المجالات للنقاط الثنائية (فقط لخوادم DNS المخصصة / ملفات المضيف) بعد النسخ الاحتياطي الأول
بعد تشغيل النسخة الاحتياطية الأولى واستخدام خادم DNS مخصص (بدون إعادة توجيه مشروط)، من المحتمل أن تفشل النسخة الاحتياطية. إذا حدث ذلك:
انتقل إلى مجموعة الموارد الخاصة بك، وابحث عن نقطة النهاية الخاصة التي قمت بإنشائها.
بصرف النظر عن نقاط النهاية الخاصة الثلاث التي تمت مناقشتها سابقًا، سترى الآن نقطة نهاية خاصة رابعة يبدأ اسمها بـ
<the name of the private endpoint>_prot
ويلحق بها_blob
.انتقل إلى نقطة النهاية الخاصة الجديدة هذه. في خيار تكوين نظام أسماء المجالات، سترى سجلاً يحتوي على اسم مجال مؤهل بالكامل وعنوان IP. أضفها إلى خادم DNS الخاص بك، بالإضافة إلى تلك الموصوفة سابقًا.
إذا كنت تستخدم ملف المضيف، فقم بإجراء الإدخالات المقابلة في ملف المضيف لكل IP واسم مجال مؤهل بالكامل وفقًا للتنسيق التالي:
<private ip><space><blob service privatelink FQDN>
إشعار
في هذه المرحلة، يجب أن تكون قادرًا على تشغيل nslookup من جهاز ظاهري والعزم على عناوين IP الخاصة عند الانتهاء من عناوين URL للنسخ الاحتياطي والتخزين الخاصة بالمخزن.
عند استخدام مجموعة قابلية وصول عالية SQL
عند استخدام مجموعات توافر SQL (AG)، ستحتاج إلى توفير إعادة التوجيه الشرطي في AG نظام أسماء المجالات المخصص كما هو موضح أدناه:
قم بتسجيل الدخول إلى وحدة تحكم المجال الخاصة بك.
ضمن تطبيق DNS، أضف معيد التوجيه الشرطي لجميع مناطق DNS الثلاثة (النسخ الاحتياطي، والنقاط، وقوائم الانتظار) إلى IP 168.63.129.16 أو عنوان IP لخادم DNS المخصص، حسب الضرورة. تظهر لقطات الشاشة التالية عند إعادة التوجيه إلى عنوان IP لمضيف Azure. إذا كنت تستخدم خادم DNS الخاص بك، فاستبدل عنوان IP الخاص بخادم DNS الخاص بك.
النسخ الاحتياطي والاستعادة من خلال عامل MARS وخادم DPM
عند استخدام وكيل مجموعة النتائج النشطة المتعددة لنسخ مواردك المحلية احتياطيًا، تأكد من أن شبكتك المحلية (التي تحتوي على مواردك المراد نسخها احتياطيًا) متطابقة مع Azure شبكة ظاهرية الذي يحتوي على نقطة نهاية خاصة للمخزن، حتى تتمكن من استخدامها. يمكنك بعد ذلك متابعة تثبيت وكيل مجموعة النتائج النشطة المتعددة وتكوين النسخ الاحتياطي كما هو مفصل هنا. ومع ذلك، يجب عليك التأكد من أن جميع الاتصالات الخاصة بالنسخ الاحتياطي تحدث من خلال الشبكة ذات الأقران فقط.
ولكن إذا قمت بإزالة نقاط النهاية الخاصة للمخزن بعد تسجيل وكيل مجموعة النتائج النشطة المتعددة به، فستحتاج إلى إعادة تسجيل الحاوية مع الخزنة. لا داعي لإيقاف الحماية لهم.
إشعار
- يتم دعم نقاط النهاية الخاصة مع خادم DPM 2022 فقط (10.22.123.0) والإحدث.
- يتم دعم نقاط النهاية الخاصة مع MABS V4 فقط (14.0.30.0) والإحدث.
حذف نقاط النهاية الخاصة
راجع هذا القسم لمعرفة كيفية حذف نقاط النهاية الخاصة.
مواضيع إضافية
قم بإنشاء مخزن خدمات الاسترداد باستخدام عميل Azure Resource manager
يمكنك إنشاء مخزن خدمات الاسترداد وتمكين الهوية المُدارة (مطلوب تمكين الهوية المُدارة، كما سنرى لاحقًا) باستخدام عميل Azure Resource Manager. تمت مشاركة عينة للقيام بذلك أدناه:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>?api-version=2017-07-01-preview @C:\<filepath>\MSIVault.json
يجب أن يحتوي ملف JSON أعلاه على المحتوى التالي:
طلب JSON:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2019-05-24T12%3A54%3A42.1757237Z'\"",
"tags": {
"PutKey": "PutValue"
},
"properties": {},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
},
"identity": {
"type": "systemassigned"
}
}
استجابة JSON:
{
"location": "eastus2",
"name": "<vaultname>",
"etag": "W/\"datetime'2020-02-25T05%3A26%3A58.5181122Z'\"",
"tags": {
"PutKey": "PutValue"
},
"identity": {
"tenantId": "<tenantid>",
"principalId": "<principalid>",
"type": "SystemAssigned"
},
"properties": {
"provisioningState": "Succeeded",
"privateEndpointStateForBackup": "None",
"privateEndpointStateForSiteRecovery": "None"
},
"id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>",
"type": "Microsoft.RecoveryServices/Vaults",
"sku": {
"name": "RS0",
"tier": "Standard"
}
}
إشعار
تم بالفعل إنشاء المخزن الذي تم إنشاؤه في هذا المثال من خلال عميل Azure Resource Manager بهوية مُدارة يعينها النظام.
إدارة أذونات الوصول في مجموعات الموارد
يجب أن تكون لدى الهوية المُدارة للمخزن الأذونات التالية في مجموعة الموارد والشبكة الافتراضية حيث سيتم إنشاء نقاط النهاية الخاصة:
Microsoft.Network/privateEndpoints/*
هذا مطلوب لأداء CRUD على نقاط النهاية الخاصة في مجموعة الموارد. يجب تعيينه في مجموعة الموارد.Microsoft.Network/virtualNetworks/subnets/join/action
هذا مطلوب على الشبكة الافتراضية حيث يتم ربط IP الخاص بنقطة النهاية الخاصة.Microsoft.Network/networkInterfaces/read
هذا مطلوب في مجموعة الموارد للحصول على واجهة الشبكة التي تم إنشاؤها لنقطة النهاية الخاصة.- دور مساهم منطقة نظام أسماء المجالات الخاصة هذا الدور موجود بالفعل
Microsoft.Network/privateDnsZones/A/*
وMicrosoft.Network/privateDnsZones/virtualNetworkLinks/read
يمكن استخدامه لتوفير الأذونات.
يمكنك استخدام إحدى الطرق التالية لإنشاء أدوار بالأذونات المطلوبة:
قم بإنشاء الأدوار والأذونات يدويًا
أنشئ ملفات JSON التالية واستخدم أمر PowerShell في نهاية القسم لإنشاء أدوار:
//PrivateEndpointContributorRoleDef.json
{
"Name": "PrivateEndpointContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows management of Private Endpoint",
"Actions": [
"Microsoft.Network/privateEndpoints/*",
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
//NetworkInterfaceReaderRoleDef.json
{
"Name": "NetworkInterfaceReader",
"Id": null,
"IsCustom": true,
"Description": "Allows read on networkInterfaces",
"Actions": [
"Microsoft.Network/networkInterfaces/read"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
//PrivateEndpointSubnetContributorRoleDef.json
{
"Name": "PrivateEndpointSubnetContributor",
"Id": null,
"IsCustom": true,
"Description": "Allows adding of Private Endpoint connection to Virtual Networks",
"Actions": [
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"NotActions": [],
"AssignableScopes": [
"/subscriptions/00000000-0000-0000-0000-000000000000"
]
}
New-AzRoleDefinition -InputFile "PrivateEndpointContributorRoleDef.json"
New-AzRoleDefinition -InputFile "NetworkInterfaceReaderRoleDef.json"
New-AzRoleDefinition -InputFile "PrivateEndpointSubnetContributorRoleDef.json"
استخدم برنامج نصي
ابدأ Cloud Shell في مدخل Microsoft Azure وحدد Upload file في نافذة PowerShell.
قم بتحميل البرنامج النصي التالي: VaultMsiPrereqScript
انتقل إلى المجلد الرئيسي الخاص بك (على سبيل المثال:
cd /home/user
)تشغيل الاستعلام التالي:
./VaultMsiPrereqScript.ps1 -subscription <subscription-Id> -vaultPEResourceGroup <vaultPERG> -vaultPESubnetResourceGroup <subnetRG> -vaultMsiName <msiName>
هذه هي المعلمات:
الاشتراك: ** SubscriptionId الذي يحتوي على مجموعة الموارد حيث سيتم إنشاء نقطة النهاية الخاصة للمخزن والشبكة الفرعية حيث سيتم إرفاق نقطة النهاية الخاصة بالمخزن
vaultPEResourceGroup: مجموعة الموارد حيث سيتم إنشاء نقطة النهاية الخاصة للمخزن
vaultPESubnetResourceGroup: مجموعة موارد الشبكة الفرعية التي سيتم ضم نقطة النهاية الخاصة إليها
vaultMsiName: اسم MSI الخاص بالمخزن، وهو نفس اسم VaultName
أكمل المصادقة وسيأخذ النص البرمجي سياق الاشتراك المحدد المذكور أعلاه. ستنشئ الأدوار المناسبة إذا كانت مفقودة من المستأجر وستعين أدوارًا إلى MSI الخاص بالمخزن.
إنشاء نقاط نهاية خاصة باستخدام Azure PowerShell
نقاط النهاية الخاصة المعتمدة تلقائيًا
$vault = Get-AzRecoveryServicesVault `
-ResourceGroupName $vaultResourceGroupName `
-Name $vaultName
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $privateEndpointConnectionName `
-PrivateLinkServiceId $vault.ID `
-GroupId "AzureBackup"
$vnet = Get-AzVirtualNetwork -Name $vnetName -ResourceGroupName $VMResourceGroupName
$subnet = $vnet | Select -ExpandProperty subnets | Where-Object {$_.Name -eq '<subnetName>'}
$privateEndpoint = New-AzPrivateEndpoint `
-ResourceGroupName $vmResourceGroupName `
-Name $privateEndpointName `
-Location $location `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection `
-Force
الموافقة اليدوية على نقاط النهاية الخاصة باستخدام Azure Resource Manager Client
استخدم GetVault للحصول على معرف اتصال نقطة النهاية الخاصة لنقطة النهاية الخاصة بك.
armclient GET /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/vaults/<vaultname>?api-version=2017-07-01-preview
سيؤدي هذا إلى إرجاع معرف اتصال نقطة النهاية الخاصة. يمكن استرجاع اسم الاتصال باستخدام الجزء الأول من معرف الاتصال كما يلي:
privateendpointconnectionid = {peName}.{vaultId}.backup.{guid}
احصل على Private Endpoint Connection ID (وPrivate Endpoint Name، حيثما كان ذلك مطلوبًا) من الاستجابة واستبدله في JSON وAzure Resource Manager URI التالي وحاول تغيير الحالة إلى "موافق عليه / مرفوض / غير متصل"، كما هو موضح في النموذج أدناه:
armclient PUT /subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>?api-version=2020-02-02-preview @C:\<filepath>\BackupAdminApproval.json
JSON:
{ "id": "/subscriptions/<subscriptionid>/resourceGroups/<rgname>/providers/Microsoft.RecoveryServices/Vaults/<vaultname>/privateEndpointConnections/<privateendpointconnectionid>", "properties": { "privateEndpoint": { "id": "/subscriptions/<subscriptionid>/resourceGroups/<pergname>/providers/Microsoft.Network/privateEndpoints/pename" }, "privateLinkServiceConnectionState": { "status": "Disconnected", //choose state from Approved/Rejected/Disconnected "description": "Disconnected by <userid>" } } }
قم بإعداد خادم وكيل لمخزن خدمات الاسترداد بنقطة نهاية خاصة
لتكوين خادم وكيل لجهاز ظاهري Azure أو الجهاز المحلي، اتبع الخطوات التالية:
أضف المجالات التالية التي يجب الوصول إليها من الخادم الوكيل.
الخدمة أسماء المجال المنفذ النسخ الاحتياطي في Azure *.backup.windowsazure.com 443 تخزين Azure *.blob.core.windows.net
*.queue.core.windows.net
*.blob.storage.azure.net443 معرف Microsoft Entra
عناوين URL المحدثة للمجال المذكورة في القسمين 56 و59 في Microsoft 365 Common وOffice Online.*.msftidentity.com، *.msidentity.com، account.activedirectory.windowsazure.com، accounts.accesscontrol.windows.net، adminwebservice.microsoftonline.com، api.passwordreset.microsoftonline.com، autologon.microsoftazuread-sso.com، becws.microsoftonline.com، clientconfig.microsoftonline-p.net، companymanager.microsoftonline.com، device.login.microsoftonline.com، graph.microsoft.com، graph.windows.net، login.microsoft.com، login.microsoftonline.com، login.microsoftonline-p.com، login.windows.net، logincert.microsoftonline.com، loginex.microsoftonline.com، login-us.microsoftonline.com، nexus.microsoftonline-p.com، passwordreset.microsoftonline.com، provisioningapi.microsoftonline.com
20.190.128.0/18, 40.126.0.0/18, 2603:1006:2000::/48, 2603:1007:200::/48, 2603:1016:1400::/48, 2603:1017::/48, 2603:1026:3000::/48, 2603:1027:1::/48, 2603:1036:3000::/48, 2603:1037:1::/48, 2603:1046:2000::/48, 2603:1047:1::/48, 2603:1056:2000::/48, 2603:1057:2::/48
*.hip.live.com، *.microsoftonline.com، *.microsoftonline-p.com، *.msauth.net، *.msauthimages.net، *.msecnd.net، *.msftauth.net، *.msftauthimages.net، *.phonefactor.net، enterpriseregistration.windows.net، management.azure.com، policykeyservice.dc.ad.msft.netحسب الاقتضاء. اسمح بالوصول إلى هذه المجالات في الخادم الوكيل وربط منطقة DNS الخاصة (
*.privatelink.<geo>.backup.windowsazure.com
،*.privatelink.blob.core.windows.net
،*.privatelink.queue.core.windows.net
) بـ VNET حيث يتم إنشاء خادم وكيل أو يستخدم خادم DNS مخصص مع إدخالات نظام أسماء المجالات ذات الصلة.
يجب أن يتم فحص VNET حيث يتم تشغيل الخادم الوكيل وVNET حيث يتم إنشاء NIC لنقطة النهاية الخاصة، مما يسمح للخادم الوكيل بإعادة توجيه الطلبات إلى IP الخاص.إشعار
في النص أعلاه،
<geo>
يشير إلى رمز المنطقة (على سبيل المثال eus و ne لشرق الولايات المتحدة وشمال أوروبا على التوالي). راجع القوائم التالية لمعرفة تعليمة برمجية المناطق:
يعرض الرسم التخطيطي التالي إعدادًا (في أثناء استخدام مناطق Azure الخاصة نظام أسماء المجالات) مع خادم وكيل، يرتبط شبكة ظاهرية الخاص به بمنطقة نظام أسماء المجالات خاصة بإدخالات نظام أسماء المجالات المطلوبة. يمكن أن يكون للخادم الوكيل خادم DNS مخصص خاص به، ويمكن إعادة توجيه المجالات المذكورة أعلاه بشكل مشروط إلى 168.63.129.16. إذا كنت تستخدم خادم DNS / ملف مضيف مخصص لتحليل نظام أسماء المجالات، فراجع الأقسام الخاصة بإدارة إدخالات DNS وتكوين الحماية.
قم بإنشاء إدخالات نظام أسماء المجالات عندما يكون خادم DNS / منطقة DNS موجودة في اشتراك آخر
في هذا القسم، سنناقش الحالات التي تستخدم فيها منطقة نظام أسماء المجالات موجودة في الاشتراك، أو مجموعة موارد مختلفة عن تلك التي تحتوي على نقطة النهاية الخاصة لمخزن خدمات الاسترداد، مثل المحور وتخطيط شبكة الكلام. نظرًا إلى أن الهوية المُدارة المستخدمة لإنشاء نقاط نهاية خاصة (وإدخالات نظام أسماء المجالات) لها أذونات فقط على مجموعة الموارد التي يتم فيها إنشاء نقاط النهاية الخاصة، فإن إدخالات DNS المطلوبة مطلوبة بشكل إضافي. استخدم برامج PowerShell النصية التالية لإنشاء إدخالات نظام أسماء المجالات.
إشعار
ارجع إلى العملية بأكملها الموضحة أدناه لتحقيق النتائج المطلوبة. يجب تكرار العملية مرتين - مرة في أثناء الاكتشاف الأول (لإنشاء إدخالات نظام أسماء المجالات المطلوبة لحسابات تخزين الاتصالات)، ومرة واحدة في أثناء النسخ الاحتياطي الأول (لإنشاء إدخالات DNS المطلوبة لحسابات التخزين الخلفية).
الخطوة 1: احصل على إدخالات نظام أسماء المجالات المطلوبة
استخدم البرنامج النصي PrivateIP.ps1 لسرد كافة إدخالات نظام أسماء المجالات التي يجب إنشاؤها.
إشعار
subscription
تشير الصيغة الواردة أدناه إلى الاشتراك حيث سيتم إنشاء نقطة النهاية الخاصة للمخزن.
بناء الجملة لاستخدام البرنامج النصي
./PrivateIP.ps1 -Subscription "<VaultPrivateEndpointSubscriptionId>" -VaultPrivateEndpointName "<vaultPrivateEndpointName>" -VaultPrivateEndpointRGName <vaultPrivateEndpointRGName> -DNSRecordListFile dnsentries.txt
إخراج العينة
ResourceName DNS PrivateIP
<vaultId>-ab-pod01-fc1 privatelink.eus.backup.windowsazure.com 10.12.0.15
<vaultId>-ab-pod01-fab1 privatelink.eus.backup.windowsazure.com 10.12.0.16
<vaultId>-ab-pod01-prot1 privatelink.eus.backup.windowsazure.com 10.12.0.17
<vaultId>-ab-pod01-rec2 privatelink.eus.backup.windowsazure.com 10.12.0.18
<vaultId>-ab-pod01-ecs1 privatelink.eus.backup.windowsazure.com 10.12.0.19
<vaultId>-ab-pod01-id1 privatelink.eus.backup.windowsazure.com 10.12.0.20
<vaultId>-ab-pod01-tel1 privatelink.eus.backup.windowsazure.com 10.12.0.21
<vaultId>-ab-pod01-wbcm1 privatelink.eus.backup.windowsazure.com 10.12.0.22
abcdeypod01ecs114 privatelink.blob.core.windows.net 10.12.0.23
abcdeypod01ecs114 privatelink.queue.core.windows.net 10.12.0.24
abcdeypod01prot120 privatelink.blob.core.windows.net 10.12.0.28
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.32
abcdepod01prot110 privatelink.blob.core.windows.net 10.12.0.36
abcdeypod01prot121 privatelink.blob.core.windows.net 10.12.0.30
abcdeypod01prot122 privatelink.blob.core.windows.net 10.12.0.34
abcdepod01prot120 privatelink.blob.core.windows.net 10.12.0.26
الخطوة 2: إنشاء إدخالات DNS
قم بإنشاء إدخالات نظام أسماء المجالات المقابلة لتلك المذكورة أعلاه. بناءً على نوع نظام أسماء المجالات الذي تستخدمه، لديك بديلان لإنشاء إدخالات نظام أسماء المجالات.
الحالة 1: إذا كنت تستخدم خادم DNS مخصصًا، فأنت بحاجة إلى إنشاء إدخالات يدويًا لكل سجل من البرنامج النصي أعلاه والتحقق من أن اسم مجال مؤهل بالكامل (ResourceName.DNS) يحل إلى IP خاص داخل VNET.
الحالة 2: إذا كنت تستخدم Azure Private DNS Zone، يمكنك استخدام البرنامج النصي CreateDNSEntries.ps1 لإنشاء إدخالات نظام أسماء المجالات تلقائيًا في منطقة DNS الخاصة. في الصيغة التالية، هيsubscription
الصيغة التي توجد بها منطقة DNS الخاصة.
بناء الجملة لاستخدام البرنامج النصي
/CreateDNSEntries.ps1 -Subscription <PrivateDNSZoneSubId> -DNSResourceGroup <PrivateDNSZoneRG> -DNSRecordListFile dnsentries.txt
ملخص للعملية برمتها
لإعداد نقطة نهاية خاصة لمخزن خدمات الاسترداد بشكل صحيح من خلال هذا الحل البديل، تحتاج إلى:
- قم بإنشاء نقطة نهاية خاصة للمخزن (كما هو موضح سابقًا في المقالة).
- اكتشاف المشغل. سيفشل اكتشاف SQL / HANA مع UserErrorVMInternetConnectivityIssue لأن إدخالات نظام أسماء المجالات غير موجودة لحساب تخزين الاتصالات.
- قم بتشغيل البرامج النصية للحصول على إدخالات نظام أسماء المجالات وإنشاء إدخالات DNS المقابلة لحساب تخزين الاتصالات المذكور سابقًا في هذا القسم.
- اكتشاف Retrigger. هذه المرة، يجب أن ينجح الاكتشاف.
- تشغيل النسخ الاحتياطي. قد يفشل النسخ الاحتياطي لـ SQL / HANA وMARS لأن إدخالات DNS غير موجودة لحسابات التخزين الخلفية كما ذكرنا سابقًا في هذا القسم.
- قم بتشغيل البرامج النصية لإنشاء إدخالات نظام أسماء المجالات لحساب التخزين الخلفي.
- إعادة تشغيل النسخ الاحتياطي. هذه المرة، يجب أن تنجح النسخ الاحتياطية.
الأسئلة الشائعة
هل يمكنني إنشاء نقطة نهاية خاصة لمخزن خدمات الاسترداد الحالي؟
لا، يمكن إنشاء نقاط نهاية خاصة لخزائن خدمات الاسترداد الجديدة فقط. لذلك يجب ألا يحتوي المخزن على أي عناصر محمية به. في الواقع، لا يمكن إجراء أي محاولات لحماية أي عناصر في المخزن قبل إنشاء نقاط نهاية خاصة.
حاولت حماية عنصر في المخزن الخاص بي، لكنه فشل ولا يزال المخزن لا يحتوي على أي عناصر محمية به. هل يمكنني إنشاء نقاط نهاية خاصة لهذا المخزن؟
لا، يجب ألا يكون للمخزن أي محاولات لحماية أي عناصر إليه في الماضي.
لدي مخزن يستخدم نقاط نهاية خاصة للنسخ الاحتياطي والاستعادة. هل يمكنني لاحقًا إضافة أو إزالة نقاط النهاية الخاصة لهذا المخزن حتى إذا كان لدي عناصر احتياطية محمية به؟
نعم. إذا قمت بالفعل بإنشاء نقاط نهاية خاصة لخزن وعناصر نسخ احتياطي محمية، يمكنك لاحقًا إضافة نقاط نهاية خاصة أو إزالتها كما هو مطلوب.
هل يمكن استخدام نقطة النهاية الخاصة لـ Azure Backup أيضًا لاسترداد موقع Azure؟
لا، لا يمكن استخدام نقطة النهاية الخاصة للنسخ الاحتياطي إلا لـ Azure Backup. ستحتاج إلى إنشاء نقطة نهاية خاصة جديدة لاسترداد موقع Azure، إذا كانت مدعومة من قبل الخدمة.
فاتتني إحدى الخطوات الواردة في هذه المقالة وواصلت حماية مصدر البيانات الخاص بي. هل لا يزال بإمكاني استخدام نقاط النهاية الخاصة؟
قد يؤدي عدم اتباع الخطوات الواردة في المقالة والاستمرار في حماية العناصر إلى عدم قدرة المخزن على استخدام نقاط النهاية الخاصة. لذلك يوصى بالرجوع إلى قائمة التحقق هذه قبل المتابعة لحماية العناصر.
هل يمكنني استخدام خادم DNS الخاص بي بدلاً من استخدام منطقة Azure الخاصة نظام أسماء المجالات أو منطقة DNS الخاصة المتكاملة؟
نعم، يمكنك استخدام خوادم DNS الخاصة بك. ومع ذلك، تأكد من إضافة جميع سجلات نظام أسماء المجالات المطلوبة كما هو مقترح في هذا القسم.
هل أحتاج إلى تنفيذ أي خطوات إضافية على خادمي بعد أن اتبعت العملية الواردة في هذه المقالة؟
بعد اتباع العملية المفصلة في هذه المقالة، لن تحتاج إلى القيام بعمل إضافي لاستخدام نقاط النهاية الخاصة للنسخ الاحتياطي والاستعادة.
الخطوات التالية
- اقرأ حولجميع ميزات الأمان في Azure Backup.